unerwünschte Startseite im IE

[Dutchman]

Hey die NV Dateien dürften von Norton kommen - also vorsichtig damit wenn Du Norton Produkte aufm PC hast... Das andere kenn ich selbst nich...

[g e k k o]

@dutchman:
wie sicher bist du dir, dass das norton-dateien sind? ich dachte, alles was mit norton zu tun hat, enthält auch "symantec" im pfadnamen, oder nicht?

greez
gekko

[Greenhorn23]

wenn ich micht nicht täusche sind das dateien von nvidia - grafikkarte

[designfanatiker]

Zitat:

Zitat von g e k k o

sowohl in der reg wie auch in der msconfig habe ich drei dateien gefunden, die mir suspekt sind.

Da Schadprogramme jeden beliebigen Namen annehmen können macht es wenig Sinn manuell danach zu suchen. Die drei von dir gefundenen Dateien gehören zu deiner Nvidia-Grafikkarte (Nvidia Media Center), es könnte sich dabei allerdings genausogut um Schadprogramme handeln. Eben weil man das nicht mit Sicherheit sagen kann solltest du dein System komplett neu aufsetzen und dich zukünftig besser absichern.

Edit: Greenhorn war schneller.

[Greenhorn23]

C:\WINDOWS\system32\intel32.exe
C:\WINDOWS\system32\msmsgs.exe
C:\WINDOWS\system32\hp9402.tmp
C:\WINDOWS\system32\intmon.exe

sind diese dateien auf deinem rechner?
lasse mal deinen rechner nochmal richtig durchscannen :
http://de.trendmicro-europe.com/cons...all_launch.php
hast du das logfile von hjackthis schon mal auswerten lassen?
aber um auf nr. sicher zu gehen..würde ich dukexps rat befolgen

[g e k k o]

noch will ich mich nicht geschlagen geben und alles neu machen

bei mir wurde laut trend micro ein trojaner namens troj_puper.ah gefunden. trend micro kann das system angeblich nicht säubern.

außerdem wurden folgende dateien in c:\windows\system32 gefunden:

...hhk.dll
...hpCBC.tmp
...intmon.exe
...shnlog.exe

es wurde mir geraten, die shnlog.exe im taskmanager zu beenden. wenn ich das tue, läuft kurz die sanduhr und das ding ist wieder da.

sämtliche registry-einträge die ich lösche, erscheinen auch wieder wenn man den ordner schließt und wieder öffnet.

geht vielleicht noch was im abgesicherten modus? das ding weckt meinen ehrgeiz. muss doch zu knacken sein oder?

greez
gekko

[Greenhorn23]

hier findest du dateien:
http://www.wintotal.de/Spyware/index.php?Filter=H
und ein tool ist auch dabei, kenne dieses teil aber nicht

hier noch eine seite, mit der du nachschauen kannst welche prozesse im taskmanager laufen können:
http://frankn.com/html/lsass_exe.html


edit: das hab ich noch beim googeln gefunden:
Gehen wir mal Schritt für Schritt vor.

Du hast den Trojaner Troj/Puper-D installiert. Der Trojaner hat folgende Dateien erzeugt:

<System>\hhk.dll
<System>\intmon.exe
<System>\hpXX.tmp - wobei XX für zufällig erzeugte Zeichen steht.

Der Neustart des Hauptprozesses durch intmon.exe funktioniert nur, wenn die Trojanerdatei den Namen shnlog.exe hat.

Daher kann das System desinfiziert werden, indem der Name der Datei shnlog.exe geändert und dann der Prozess popuper.exe beendet wird.

intmon.exe beendet sich selbst, wenn sie die Hauptdatei nicht mehr findet, um sie neu auszuführen. Beide Dateien können gelöscht und die Registrierung bereinigt werden.

Nachdem shnlog.exe von dem System entfernt wurde, können die Standardvorgehensweisen für die Desinfektion der anderen beiden Komponenten angewendet werden.

http://www.sophos.de/virusinfo/analyses/trojpuperd.html

[g e k k o]

hi greenhorn23,

das umbenennen und anschließende löschen der shnlog.exe hat tatsächlich funktioniert. bin selbst gar nicht darauf gekommen, weil ich das gleiche vorher schon in der registry versucht hatte. dort erschien sie jedesmal wieder neu.

die popuper.exe habe ich im taskmanager nicht gefunden, nur in der registry. dort ließ sie sich aber löschen.

danach habe ich nochmal ad-aware laufen lassen, der noch einige malware-einträge fand.

dann galt es noch, das stetig blinkende gelbe dreieck in der taskleiste zu löschen.

seitdem ist bisher ruhe. vielen dank für deine hilfe, ich bin froh, dass ich zum jetzigen zeitpunkt nicht meinen rechner neu machen muss.

greez
gekko